بدافزار StilachiRAT

تا Mezo در بدافزار, ابزارهای مدیریت از راه دور

ترجمه به:

محققان اخیراً StilachiRAT را کشف کرده‌اند، یک تروجان دسترسی از راه دور (RAT) که از تکنیک‌های پیشرفته فرار استفاده می‌کند تا در سیستم‌های در معرض خطر باقی بماند. هدف اصلی این بدافزار جمع‌آوری اطلاعات حساس است که تهدیدی جدی برای افراد و سازمان‌ها محسوب می‌شود.

فهرست مطالب

آنچه StilachiRAT جمع آوری می کند

StilachiRAT برای جمع آوری طیف گسترده ای از داده ها از سیستم های آلوده طراحی شده است. اطلاعاتی مانند:

اعتبار ذخیره شده در مرورگرهای وب
جزئیات کیف پول دیجیتال
محتوای کلیپ بورد، از جمله رمزهای عبور و کیف پول ارزهای دیجیتال
اطلاعات سیستم، مانند نسخه سیستم عامل، شماره سریال BIOS، حضور دوربین و برنامه های فعال

نحوه عملکرد StilachiRAT

StilachiRAT که در نوامبر 2024 کشف شد، در داخل یک ماژول DLL به نام "WWStartupCtrl64.dll" پیدا شد. در حالی که روش تحویل دقیق آن ناشناخته باقی مانده است، این RAT می تواند از طریق بردارهای حمله مختلف پخش شود، که اهمیت اقدامات امنیتی قوی را برجسته می کند.

هنگامی که StilachiRAT وارد یک سیستم می شود، شناسایی سیستم گسترده ای را برای جمع آوری اطلاعات ارزشمند، از جمله جزئیات سیستم عامل، جلسات فعال پروتکل دسکتاپ از راه دور (RDP) و شناسه های سخت افزاری مانند شماره سریال BIOS انجام می دهد. علاوه بر این، به طور صریح افزونه های کیف پول رمزنگاری شده را در مرورگر گوگل کروم، از جمله کیف پول های معروف مانند MetaMask، Trust Wallet و Coinbase Wallet، در میان دیگران، هدف قرار می دهد.

ارتباطات و کنترل

StilachiRAT با یک سرور Command-and-Control (C2) برای ارسال و دریافت دستورالعمل ها ارتباط برقرار می کند. از طریق این ارتباط دو طرفه، بدافزار می تواند دستورات مختلفی را اجرا کند مانند:

گزارش های رویداد را پاک کنید و اتصالات شبکه را خاتمه دهید
سیستم را اجباری خاموش کنید یا برنامه های خاصی را راه اندازی کنید
نظارت و ضبط اطلاعات جلسه RDP، از جمله جزئیات پنجره
گذرواژه‌های ذخیره شده Google Chrome و سایر داده‌های حساس را سرقت کنید

این قابلیت ها StilachiRAT را به ابزاری همه کاره برای سرقت اطلاعات و دستکاری سیستم تبدیل می کند. بسته به اهداف مهاجم، می تواند تا 10 دستور مختلف را اجرا کند.

اقدامات ضد پزشکی قانونی

در تلاش برای جلوگیری از تشخیص، StilachiRAT از تکنیک های مختلف ضد پزشکی قانونی استفاده می کند. از جمله پاک کردن گزارش‌های رویداد، اجتناب از ابزارهای تجزیه و تحلیل، و شناسایی محیط‌های مجازی که معمولاً برای تجزیه و تحلیل بدافزار استفاده می‌شوند. با انجام این کار، ردیابی و کاهش حضور آن برای تیم های امنیت سایبری چالش برانگیزتر می شود.

چگونه از دستگاه های خود در برابر تهدیدات RAT (تروجان دسترسی از راه دور) محافظت کنید

تروجان‌های دسترسی از راه دور (RAT) انواعی از بدافزارها را تهدید می‌کنند که به مهاجمان دسترسی غیرمجاز به دستگاه‌های شما را می‌دهند و آنها را قادر می‌سازد اطلاعات حساس را جمع‌آوری کنند، فعالیت‌های شما را نظارت کنند و کنترل سیستم شما را در دست بگیرند. محافظت از دستگاه های شما در برابر چنین تهدیداتی به ترکیبی از اقدامات امنیتی پیشگیرانه نیاز دارد. در اینجا چندین استراتژی برای کمک به دفاع در برابر RAT ها وجود دارد:

نرم افزار و سیستم عامل خود را به روز نگه دارید : مطمئن شوید که سیستم عامل، مرورگرها و برنامه های شما به طور منظم به روز می شوند. به‌روزرسانی‌های نرم‌افزار اغلب برای ارائه وصله‌های امنیتی استفاده می‌شوند که آسیب‌پذیری‌هایی را که RATها و سایر بدافزارها می‌توانند از آنها سوءاستفاده کنند، برطرف می‌کنند. به‌روزرسانی‌های خودکار را روشن کنید تا خطر از دست رفتن اصلاحات امنیتی مهم را به حداقل برسانید.
از رمزهای عبور قوی و منحصر به فرد استفاده کنید : موش‌های صحرایی اغلب اعتبار ذخیره‌شده در مرورگرها یا کیف پول‌های دیجیتال را جمع‌آوری می‌کنند. برای کاهش خطر، از رمزهای عبور قوی و منحصر به فرد برای هر یک از حساب های خود استفاده کنید. استفاده از یک مدیر رمز عبور می تواند به شما کمک کند تا رمزهای عبور پیچیده را به طور ایمن ایجاد و ذخیره کنید. از استفاده از رمز عبور یکسان در چندین حساب باید اجتناب شود.
یک نرم‌افزار ضد بدافزار قابل اعتماد نصب کنید : یک برنامه جامع ضد بدافزار می‌تواند به شناسایی و حذف موش‌های صحرایی قبل از ایجاد آسیب قابل توجه کمک کند. به طور منظم سیستم خود را از نظر تهدیدات تجزیه و تحلیل کنید و مطمئن شوید که نرم افزار ضد بدافزار دارای آخرین تعاریف ویروس است.
فعال کردن احراز هویت دو مرحله‌ای (2FA) : در صورت امکان، احراز هویت دو مرحله‌ای (2FA) را برای حساب‌های آنلاین خود، به‌ویژه برای حساب‌های حساس مانند ایمیل، بانک‌ها و کیف پول‌های ارزهای دیجیتال فعال کنید. حتی اگر یک RAT اعتبار ورود شما را بگیرد، 2FA یک لایه حفاظتی کمکی اضافه می کند که به شکل دوم تأیید نیاز دارد.
مراقب پیوست‌ها و پیوندهای ایمیل باشید : موش‌های صحرایی اغلب از طریق ایمیل‌های فیشینگ یا پیوندهای جعلی منتشر می‌شوند. هنگام دسترسی به پیوست‌های ایمیل یا پیوندهای منابع ناشناس یا مشکوک بیشتر مراقب باشید. آدرس ایمیل فرستنده را تأیید کنید و از دانلود فایل ها از وب سایت های نامعتبر خودداری کنید.
از فایروال استفاده کنید : فایروال می تواند به نظارت و کنترل ترافیک شبکه ورودی و خروجی کمک کند. این می تواند دسترسی غیرمجاز به سیستم شما را مسدود کند و از کنترل دستگاه شما یا سرقت داده ها از راه دور توسط مهاجمان جلوگیری کند. مطمئن شوید که فایروال شما فعال و به درستی پیکربندی شده است.

به طور منظم از داده های خود نسخه پشتیبان تهیه کنید : در صورتی که یک RAT با موفقیت به سیستم شما نفوذ کند، پشتیبان گیری منظم داده ها می تواند به شما در بازیابی فایل های مهم کمک کند. پشتیبان‌گیری‌های خود را در درایوهای خارجی یا فضای ذخیره‌سازی ابری ذخیره کنید تا مطمئن شوید که اطلاعات شما در صورت حمله باج‌افزار یا به خطر افتادن سیستم، ایمن است.

غیرفعال کردن پروتکل دسکتاپ از راه دور (RDP) در صورت عدم نیاز : پروتکل دسکتاپ از راه دور (RDP) یک بردار حمله متداول برای موش‌های صحرایی است. اگر برای دسترسی از راه دور به دستگاه خود به RDP نیاز ندارید، RDP را به طور کامل غیرفعال کنید. اگر برای کار شما ضروری است، مطمئن شوید که از گذرواژه‌های قوی استفاده می‌کنید و دسترسی را فقط به آدرس‌های IP قابل اعتماد محدود کنید.

نظارت بر فرآیندهای فعال و فعالیت شبکه : مراقب نظارت بر فرآیندهای فعال در سیستم خود باشید. اگر متوجه برنامه‌های ناآشنا یا فعالیت زیاد شبکه شدید، بیشتر بررسی کنید تا مطمئن شوید هیچ RAT در پس‌زمینه اجرا نمی‌شود. ابزارهایی شبیه به Task Manager (در ویندوز) یا Activity Monitor (در macOS) می توانند به شناسایی رفتارهای مشکوک کمک کنند.

StilachiRAT به دلیل قابلیت‌های پیچیده سرقت داده، ویژگی‌های دستکاری سیستم و روش‌های عملیات پنهان، یک تهدید امنیت سایبری قابل توجه است. برای دفاع در برابر چنین حملاتی، هم افراد و هم سازمان‌ها باید شیوه‌های امنیتی قوی را اتخاذ کنند و مراقب تهدیدات نوظهور باشند.